超過40個Windows裝置驅動程式包含提升許可權的漏洞

在今年拉斯維加斯舉行的DEF CON會議上，來自網路安全公司Eclypsium的研究人員分享了他們的調查結果。結果顯示，來自20家硬體供應商的40多名不同驅動程式包含的程式碼包含缺陷，可能被利用來加劇特權攻擊升級。更令人擔憂的是，所有這些驅動程式都經過微軟認證。

受影響的公司名單包括主要的BIOS供應商以及華碩，華為，英特爾，NVIDIA和東芝等硬體製造商。 Eclypsium還提醒說，這些驅動程式會影響所有版本的Windows，這意味著數百萬使用者可能面臨風險。

這些驅動程式造成的風險是它們可能允許使用者級別的惡意應用程式獲得核心許可權，從而直接訪問韌體和硬體本身。這也可能意味著惡意軟體可以直接安裝到韌體中，因此，即使重新安裝作業系統也不足以擺脫它。

Eclypsium解釋了這些漏洞的的問題來源：

所有這些漏洞都允許驅動程式充當代理，以執行對硬體資源的高許可權訪問，例如對處理器和晶片組I/O空間的讀寫訪問，模型特定暫存器（MSR），控制暫存器（CR），除錯暫存器（DR），實體記憶體和核心虛擬記憶體，從而實現許可權提升，因為它可以將攻擊者從使用者模式（Ring 3）移動到OS核心模式（Ring 0）。保護環的概念總結在下圖中，其中每個內環被逐漸授予更多特權。值得注意的是，即使是管理員也可以與其他使用者一起在Ring 3（並且沒有更深層次）進行操作。訪問核心不僅可以為攻擊者提供作業系統可用的最高許可權訪問許可權，還可以授予對具有更高許可權（如系統BIOS韌體）的硬體和韌體介面的訪問許可權。

由於驅動程式通常是更新韌體的手段，“驅動程式不僅提供必要的許可權，還提供進行更改的機制，”Eclypsium指出。如果系統中已存在易受攻擊的驅動程式，則惡意應用程式只需搜尋它以提升許可權。但是，如果驅動程式不存在，惡意應用程式可能會帶驅動程式，但需要管理員批准才能安裝驅動程式。

Eclypsium的首席研究員Mickey Shkatov在給ZDNet的一份宣告中指出，“微軟將使用其HVCI（虛擬機器管理程式強制執行的程式碼完整性）功能，將報告給他們的驅動程式列入黑名單。”但是，該功能僅適用於第7代及更高版本的英特爾處理器，因此在舊CPU或甚至禁用HCVI的較新CPU的情況下需要手動解除安裝驅動程式。

微軟進一步澄清：“為了利用易受攻擊的驅動程式，攻擊者需要已經破壞了計算機。”但是，這裡的問題是，在上述特權級別表示中已經在Ring 3上破壞了系統的攻擊者可以獲得核心訪問許可權。

為了保護自己免受不良驅動因素的影響，微軟建議使用者使用“Windows Defender應用程式控制來阻止已知的易受攻擊的軟體和驅動程式”。它還表示，“客戶可以通過為Windows安全中的功能強大的裝置啟用記憶體完整性來進一步保護自己。”

Eclypsium提供了一個完整的列表，列出了所有已經在其部落格文章中更新過驅動程式的供應商，儘管他們注意到一些受影響的供應商尚未榜上有名，因為他們仍在努力提供修復。研究人員還會在GitHub上傳一份受影響的驅動程式及其雜湊列表，以便使用者可以在他們的裝置上手動禁用它們。

作者：cnBeta.COM